Attacchi e Contromisure

Transcript

1 Sicurezza in Internet Attacchi e Contromisure Ph.D. Carlo Nobile 1

2 Tipi di attacco Difese Sommario Firewall Proxy Intrusion Detection System Ph.D. Carlo Nobile 2

3 Attacchi e Contromisure Sniffing Connection hijacking Denial of service (DoS) Spoofing Buffer overflow Malicious code Hyper malware Defacement Social engineering Ph.D. Carlo Nobile 3

4 Sniffing Intercettazione passiva delle comunicazioni dati Attore: un soggetto (Attacker) che ha accesso diretto a determinati segmenti di rete o sistema, che ha strumenti tecnologici idonei Intercettazione di password, messaggi di posta elettronica e contenuti vari Gli strumenti informatici si chiamano sniffer Ph.D. Carlo Nobile 4

5 Sniffing I programmi devono essere installati su un calcolatore presente sulla rete da attaccare il calcolatore deve essere precedentemente violato, compromesso Per difendersi e necessario effettuare una detection Tale operazione non è semplice, un indizio è la presenza di schede di rete poste in modalità promiscua (lettura di tutti i pacchetti che transitano sul segmento di rete) Interessa segmenti wired e wireless Ph.D. Carlo Nobile 5

6 Attacchi al contenuto - Esempio di sniffing Ph.D. Carlo Nobile 6

7 Attacchi al contenuto - Esempio di sniffing Ph.D. Carlo Nobile 7

8 Attacchi al contenuto - Esempio di sniffing Login: utente Password: pass Ph.D. Carlo Nobile 8

9 Connection Hijacking Riguarda le transazioni o comunque i flussi di dati point-to-point Non è una tecnica semplice da attuare è necessaria una certa rapidità nell azione per impossessarsi dei dati che interessano per continuare la transazione L attacker simula di essere una macchina che in realtà non è in modo da ottenere l accesso Ph.D. Carlo Nobile 9

10 Contromisure a Connection Hijacking Adozione della Crittografia. sia per gestire la cifratura dei dati scambiati; sia l autenticazione dei due poli della transazione. Ph.D. Carlo Nobile 10

11 Denial of Service Ha come scopo rendere l obiettivo difficile o addirittura impossibile da raggiungere La tecnica di tale attacco prevede l invio di un flusso consistente e continuo (flood) di dati verso l obiettivo con il fine di rallentarlo e/o mandarlo in crash Può essere singolo o distribuito ovvero indirizzato ad un singolo calcolatore o verso una rete Ph.D. Carlo Nobile 11

12 Denial of Service DoS local based Sovraccarico o arresto del servizio attaccato scopo rendere inutilizzabile il servizio per un certo periodo di tempo DoS network based Realizzati in maniera distribuita: utilizzo client ignari Organizzata di solito contro obiettivi di un certo rilievo Bandwidth consumption Inibizione della risposta del target (in gergo: riempendo il tubo) Ph.D. Carlo Nobile 12

13 Contromisure al Denial of Service Complessa: alcuni effetti si possono solo mitigare E utile l impiego di firewall (filtri in ingresso e in uscita) Intrusion detection systems per individuare la presenza di agenti (zombies) e di malicious code Ph.D. Carlo Nobile 13

14 Spoofing Non è un intrusione in senso stretto, ma una serie di operazioni funzionali alla penetrazione di altri attacchi. Spoofare un indirizzo significa falsificarlo. Principalmente, o meglio inizialmente, si agisce sugli indirizzi IP, ma tale tecnica è attuata anche su altre categorie di credenziali (indirizzi di partenza della posta elettronica, numeri di telefono di partenza degli sms). È utilizzato per attuare tecniche DoS con il fine di mascherare le macchine attacker (anche le teste di ponte). Ph.D. Carlo Nobile 14

15 Contromisure Spoofing Crittografia rivolta ad autenticare i due poli. A livello IP: Protocollo Ipsec; Protocollo ssh (telnet sicuro). Per la posta elettronica: Dispositivi di firma; Crittografia a chiave pubblica con l ausilio di certificati digitali. Ph.D. Carlo Nobile 15

16 Buffer Overflow Si basa sul presupposto, comune ai sistemi *nix (Linux, Unix), che alcuni programmi hanno privilegi particolari ( girano anche come root) Se è presente un bug architetturale un attacker potrebbe sconvolgere le funzionalità del programma stesso prendendo possesso del calcolatore dove è installato il programma Ph.D. Carlo Nobile 16

17 Contromisure al Buffer Overflow Attenzione in fase di programmazione Problema costo in termini di lavoro aggiuntivo che richiede l analisi e la verifica accurata Una soluzione consiste nel limitare i processi con diritti elevati assegnando ai programmi solo i diritti di cui hanno bisogno (least privilege) Utilizzo di strumenti di terze parti che agiscano da controllore (watchdog) intercettando possibili stringhe anomale (sintomo di prove generative di Buffer Overflow) Ph.D. Carlo Nobile 17

18 Malicious Code (sezione precedente) Macro categoria di codici che alterano e/o danneggiano (parzialmente o totalmente) il funzionamento di un sistema informatico o telematico. Sinonimi sono Malware e Mmc (Malicious mobile code). virus e worm Ph.D. Carlo Nobile 18

19 Mass Mailing è sempre Malicious Code ma: non punta, in modo prioritario, a danni logici cerca l'alterazione sistemi mailer e sistemi collegati ha come effetto DoS Esempi:» BadTrans:» Nimda cercano di sfruttare una particolare vulnerabilità di una piattaforma software (possibilmente molto diffusa) Ph.D. Carlo Nobile 19

20 Hyper-Malware - Mixed Mmc Insieme di più categorie malware Il più in voga: worm/trojan Rischio duplice Esempi: Badtrans:» Possibiltà rubare password su target (possibiltà di crearsi una conoscenza da riutilizzare per altri attacchi) Goner:» Disabilita personal firewall» Correlazione tra Mmc e servizio di chat come Icq Ph.D. Carlo Nobile 20

21 Remote Access Trojan Ieri agiva sulle modalità di accesso remoto modificando il numero chiamato Spese telefoniche stratosferiche Oggi sempre più apre backdoor al fine di permettere il controllo remoto del PC per rubare chiavi di accesso (es: conti bancari) Ph.D. Carlo Nobile 21

22 Defacement I graffitari del Web Modificare o sostituire una o più pagine di un sito Danni all immagine Contromisure Hardening» Azione mista di aggiornamento dei sistemi e rafforzamento della loro configurazione» Associata a controllo di accesso e l uso di Intrusion Detection System Ph.D. Carlo Nobile 22

23 Social Engineering Tecnica psicologica Sfrutta l inesperienza degli utenti per mettere in essere attacchi o recare danni» Furto di password» Sulfnbk.exe (burla; fake alert per cancellarlo) In realtà esistono copie di questo file contaminate dal virus magister che sono inviate via Difesa principale: educazione utenti Ph.D. Carlo Nobile 23

24 Riassumendo: Difese da attuare Reattività: esempio aggiornando frequentemente il pattern degli antivirus (efficiente per fermare goner, non con badtrans che sfrutta una debolezza della piattaforma) Aggiornamento Software piattaforme di base (sistemi operativi e applicativi) Software antivirus a livello client e a livello gateway Ph.D. Carlo Nobile 24

25 Reti Wireless Hanno un livello aggiuntivo per la sicurezza wireless lan standard Wired Equivalent Privacy» Vuole rendere equivalente dal punto di vista fisico la trasmissione wireless con quella via cavo Advanced Encryption Standard: algoritmo simmetrico che sostituisce il DES (il rilascio in concomitanza con Wep 2) Ph.D. Carlo Nobile 25

26 Reti Wireless Wireless application protocol utilizzando il livello Wtls (Wireless transport layer security) che ha il compito di» Garantire autenticazione» Integrità dei dati» Privacy Il tutto compatibilmente con le capacità di calcolo dei terminali wireless Ph.D. Carlo Nobile 26

27 Sicurezza nel wireless I problemi sono due Comunicazione tra dispositivi wireless Comunicazioni con siti di commercio elettronico e remote banking» Questi ultimi usano Ssl (Secure Socket Layer) quindi deve esserci un gateway che effettua la conversione qui potrebbe esserci l intercettazione anche se attualmente si tratta di un operazione non semplicissima da effettuare, ma è molto pericolosa e quindi deve essere considerata. Ph.D. Carlo Nobile 27

28 Reti Wireless e Malicious Code Attualmente sono un pericolo remoto, ma alcuni produttori hanno rilasciato soluzioni per i Personal Digital Assistant e i wap gateway Pki: per l autenticazione ci si affida alle Public key infrastructure Insieme di tecnologie e policy che si appoggiano alla crittografia e ai certificati digitali» Algoritmi a chiave pubblica» Problemi di complessità per il mondo wireless Ph.D. Carlo Nobile 28

29 Soluzioni e prospettive Portare il livello di sicurezza proprio delle reti cablate alle reti wireless La comunità tecnico-scientifica prevede una stabilizzazione della wireless security progressiva Ph.D. Carlo Nobile 29

30 I sistemi di protezione delle reti Firewall Reverse proxy Intrusion Detection System Ph.D. Carlo Nobile 30

31 Firewall Realizza uno strato di: Controllo degli accessi Monitoraggio della sicurezza Posto tra la rete interna e quella esterna Protocollo base TCP-IP Usa le tecnologie Proxy Packet filtering Stateful Inspection Ph.D. Carlo Nobile 31

32 Proxy Tra il programma client, residente sul computer di un utente, e un server residente su un qualsivoglia server in Internet Decide se i tentativi di accesso sono consentiti o meno in base ai parametri impostati Ph.D. Carlo Nobile 32

33 Packet Filtering Tecnica di analisi dei pacchetti in transito I pacchetti vengono filtrati in base a delle regole stabilite a priori Ph.D. Carlo Nobile 33

34 Stateful Inspection Tecnica avanzata di ispezione dei pacchetti in transito attualmente utilizzata da alcuni software commerciali Se ben realizzata è ritenuta una delle più efficaci Ph.D. Carlo Nobile 34

35 Personal firewall Legge sulla privacy e sue integrazioni (dpr 318/99 introducono degli obblighi) Protezione della rete distribuita su più livelli Perimetrale Sulle singole postazioni Nasce come ultimo punto di difesa Gestisce i tentativi di accesso non bloccati a livello di rete e integra l azione degli antivirus Ph.D. Carlo Nobile 35

36 Reverse Proxy Posizionato tra il firewall e la Dmz (zona demilitarizzata dove vengono posizionati i server web e simili) Effettua una sorta di inoltro, subordinato a un controllo di sicurezza, del traffico diretto verso una delle risorse da lui gestite Obiettivo: fungere da unico punto di controllo nei confronti delle transazioni provenienti dall esterno verso determinati obiettivi a rischio Ph.D. Carlo Nobile 36

37 Reverse Proxy Si basa sul presupposto che gli attacchi avvengono a livello di applicazione Passano attraverso il firewall o per cattiva configurazione o perché non si effettua un controllo totale a basso livello del codice in transito Altro motivo il mancato hardening (rafforzamento) Molto costoso in termini hardware e software Ph.D. Carlo Nobile 37

38 Intrusion Detection System Funzione di auditing Registrare i tentativi di attacco Consente la segnalazione delle possibili violazioni in atto File di log Bisogna proteggerli: chi effettua un accesso illegale cerca sempre di modificarli per divenire invisibile Processano i vari file di Log per segnalare violazioni in atto Ph.D. Carlo Nobile 38

39 Intrusion Detection System Modo di operare Real-time durante l attacco; con varie segnalazioni all amministratore di sistema Post-incidente Metodiche Controllo delle firme degli attacchi» Come per gli antivirus Riconoscimento anomalie» Comportamenti del sistema diversi da quelli standard su cui il software Ids è stato istruito Ph.D. Carlo Nobile 39